Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

VRRP verstehen

Das Virtual Router Redundancy Protocol (VRRP) kann verwendet werden, um virtuelle, redundante Routing-Plattformen in einem LAN zu erstellen, sodass Datenverkehr im LAN geroutet werden kann, ohne auf eine einzige Routing-Plattform angewiesen zu sein.

VRRP verstehen

Für Ethernet, Fast Ethernet, Gigabit-Ethernet, 10-Gigabit-Ethernet und logische Schnittstellen können Sie das Virtual Router Redundancy Protocol (VRRP) oder VRRP für IPv6 konfigurieren. VRRP ermöglicht es Hosts in einem LAN, redundante Routing-Plattformen in diesem LAN zu nutzen, ohne dass mehr als die statische Konfiguration einer einzigen Standardroute auf den Hosts erforderlich ist. Die VRRP-Routing-Plattformen teilen sich die IP-Adresse, die der auf den Hosts konfigurierten Standardroute entspricht. Zu jeder Zeit ist eine der VRRP-Routing-Plattformen die primäre (aktive) und die anderen sind Backups. Wenn die primäre Routing-Plattform ausfällt, wird eine der Backup-Routing-Plattformen zur neuen primären Routing-Plattform. Sie stellt eine virtuelle Standard-Routing-Plattform bereit und ermöglicht das Routing von Datenverkehr im LAN, ohne auf eine einzelne Routing-Plattform angewiesen zu sein. Mithilfe von VRRP kann ein Backup-Gerät innerhalb weniger Sekunden ein ausgefallenes Standardgerät übernehmen. Dies geschieht mit minimalem VRRP-Traffic und ohne jegliche Interaktion mit den Hosts. Das Virtual Router Redundancy Protocol wird auf Verwaltungsschnittstellen nicht unterstützt.

Geräte, auf denen VRRP ausgeführt wird, wählen dynamisch primäre und Backup-Geräte aus. Sie können auch die Zuweisung von primären und Backup-Geräten mit Prioritäten von 1 bis 255 erzwingen, wobei 255 die höchste Priorität darstellt. Im VRRP-Betrieb sendet das standardmäßige primäre Gerät in regelmäßigen Abständen Ankündigungen an Backup-Geräte. Das Standardintervall beträgt 1 Sekunde. Wenn ein Backup-Medium für einen festgelegten Zeitraum keine Ankündigung erhält, übernimmt das Backup-Medium mit der nächsthöheren Priorität die Rolle des primären Mediums und beginnt mit der Weiterleitung von Paketen.

Anmerkung:

Die Priorität 255 kann für geroutete VLAN-Schnittstellen (RVIs) nicht festgelegt werden.
Anmerkung:

Um den Netzwerkverkehr zu minimieren, ist VRRP so konzipiert, dass nur das Gerät, das als primäres Gerät fungiert, zu einem bestimmten Zeitpunkt VRRP-Ankündigungen sendet. Die Backup-Geräte senden keine Werbung, bis sie die primäre Rolle übernehmen.

VRRP für IPv6 ermöglicht einen viel schnelleren Wechsel zu einem alternativen Standardrouter als IPv6-Neighbor-Discovery-Verfahren. In typischen Bereitstellungen wird nur ein Backup-Router verwendet.

Anmerkung:

Verwechseln Sie die primären VRRP- und Backup-Routing-Plattformen nicht mit den primären und Backup-Member-Switches einer Virtual Chassis-Konfiguration . Die primären und Backup-Mitglieder einer Virtual Chassis-Konfiguration bilden einen einzelnen Host. In einer VRRP-Topologie fungiert ein Host als primäre Routing-Plattform und ein anderer als Backup-Routing-Plattform, wie in Abbildung 3 dargestellt.

VRRP ist in RFC 3768, Virtual Router Redundancy Protocol, definiert. VRRP für IPv6 ist in draft-ietf-vrrp-ipv6-spec-08.txt, Virtual Router Redundancy Protocol for IPv6, definiert. Siehe auch draft-ietf-vrrp-unified-mib-06.txt, Definitionen verwalteter Objekte für das VRRP über IPv4 und IPv6.

Anmerkung:

Obwohl VRRP, wie in RFC 3768 definiert, keine Authentifizierung unterstützt, unterstützt die Junos OS-Implementierung von VRRP die Authentifizierung gemäß RFC 2338. Diese Unterstützung wird durch die Abwärtskompatibilitätsoptionen in RFC 3768 erreicht.

Anmerkung:

Auf EX2300- und EX3400-Switches muss das VRRP-Protokoll mit einem Hello-Intervall von mindestens 2 Sekunden mit einem Totintervall von mindestens 6 Sekunden konfiguriert werden, um Flaps bei CPU-intensiven Betriebsereignissen wie Routing-Engine-Umschaltungen, Schnittstellen-Flaps und umfassender Datenerfassung durch die Paketweiterleitungs-Engine zu vermeiden.

Abbildung 1 veranschaulicht eine grundlegende VRRP-Topologie. In diesem Beispiel führen die Router A, B und C VRRP aus und bilden zusammen einen virtuellen Router. Die IP-Adresse dieses virtuellen Routers lautet 10.10.0.1 (dieselbe Adresse wie die physische Schnittstelle von Router A).

Abbildung 1: Grundlegendes VRRP Basic VRRP

Da der virtuelle Router die IP-Adresse der physischen Schnittstelle von Router A verwendet, ist Router A der primäre VRRP-Router, während die Router B und C als Backup-VRRP-Router fungieren. Clients 1 bis 3 sind mit der Standard-Gateway-IP-Adresse 10.10.0.1 konfiguriert. Als primärer Router leitet Router A die an seine IP-Adresse gesendeten Pakete weiter. Wenn der primäre virtuelle Router ausfällt, wird der mit der höheren Priorität konfigurierte Router zum primären virtuellen Router und bietet einen unterbrechungsfreien Service für die LAN-Hosts. Wenn Router A wiederhergestellt wird, wird er wieder zum primären virtuellen Router.

Anmerkung:

In einigen Fällen gibt es während einer Vererbungssitzung einen kurzen Zeitraum, in dem sich zwei Router im primären und primären Zustand befinden. In solchen Fällen senden die VRRP-Gruppen, die den Status erben, alle 120 Sekunden VRRP-Ankündigungen. Es dauert also bis zu 120 Sekunden, bis sich die Router nach dem Wechsel vom Primär-Primär-Zustand in den primären Backup-Zustand erholt haben.

Router der ACX-Serie können bis zu 64 VRRP-Gruppeneinträge unterstützen. Dabei kann es sich um eine Kombination aus IPv4- oder IPv6-Familien handeln. Wenn eine der beiden Komponenten (IPv4 oder IPv6) ausschließlich für VRRP konfiguriert ist, werden 64 eindeutige VRRP-Gruppenbezeichner unterstützt. Wenn sowohl IPv4- als auch IPv6-Familien dieselbe VRRP-Gruppe verwenden, werden nur 32 eindeutige VRRP-IDs unterstützt.

Anmerkung:

Router der ACX-Serie unterstützen VRRP Version 3 für IPv6-Adressen.

ACX5448 Router unterstützt RFC 3768 VRRP Version 2 und RFC 5798 VRRP Version 3. ACX5448 Router unterstützt auch die Konfiguration von VRRP über aggregiertes Ethernet und IRB-Schnittstellen (Integrated Routing and Bridging).

Die folgenden Einschränkungen gelten für die Konfiguration von VRRP auf ACX5448 Router:

  • Konfigurieren Sie maximal 16 VRRP-Gruppen.

  • Die Kompatibilität von VRRP Version 2 und VRRP Version 3 wird nicht unterstützt.

  • Die VRRP-Delegatverarbeitung wird nicht unterstützt.

  • Die VRRP-Authentifizierung Version 2 wird nicht unterstützt.

Abbildung 1 veranschaulicht eine grundlegende VRRP-Topologie mit Switches der EX-Serie. In diesem Beispiel führen die Switches A, B und C VRRP aus und bilden zusammen eine virtuelle Routing-Plattform. Die IP-Adresse dieser virtuellen Routing-Plattform ist 10.10.0.1 (dieselbe Adresse wie die physische Schnittstelle von Switch A).

Abbildung 2: Grundlegendes VRRP auf Switches Basic VRRP on EX Series Switches der EX-Serie

Abbildung 3 veranschaulicht eine grundlegende VRRP-Topologie mit Virtual Chassis-Konfigurationen. Switch A, Switch B und Switch C bestehen jeweils aus mehreren miteinander verbundenen Ethernet-Switches EX4200 von Juniper Networks. Jede Virtual Chassis-Konfiguration fungiert als ein einzelner Switch, auf dem VRRP ausgeführt wird. Zusammen bilden sie eine virtuelle Routing-Plattform. Die IP-Adresse dieser virtuellen Routing-Plattform ist 10.10.0.1 (dieselbe Adresse wie die physische Schnittstelle von Switch A).

Abbildung 3: VRRP auf Virtual Chassis-Switches VRRP on Virtual Chassis Switches

Da die virtuelle Routing-Plattform die IP-Adresse der physischen Schnittstelle von Switch A verwendet, ist Switch A die primäre VRRP-Routing-Plattform, während Switch B und Switch C als Backup-VRRP-Routing-Plattformen fungieren. Clients 1 bis 3 sind mit der Standard-Gateway-IP-Adresse 10.10.0.1 konfiguriert, da der primäre Router, Switch A, die an seine IP-Adresse gesendeten Pakete weiterleitet. Wenn die primäre Routing-Plattform ausfällt, wird der Switch, der mit der höheren Priorität konfiguriert ist, zur primären virtuellen Routing-Plattform und bietet einen unterbrechungsfreien Service für die LAN-Hosts. Wenn Switch A wiederhergestellt ist, wird er wieder zur primären virtuellen Routing-Plattform.

Siehe auch

VRRP und VRRP für IPv6 – Übersicht

Sie können das Virtual Router Redundancy Protocol (VRRP) und VRRP für IPv6 für die folgenden Schnittstellen konfigurieren:

  • Ethernet

  • Fast Ethernet

  • Tri-Rate-Ethernet-Kupfer

  • Gigabit-Ethernet

  • 10-Gigabit-Ethernet-LAN/WAN-PIC

  • Logische Ethernet-Schnittstellen

VRRP und VRRP für IPv6 ermöglichen es Hosts in einem LAN, redundante Router in diesem LAN zu nutzen, ohne dass mehr als die statische Konfiguration einer einzigen Standardroute auf den Hosts erforderlich ist. Die VRRP-Router teilen sich die IP-Adresse, die der auf den Hosts konfigurierten Standardroute entspricht. Zu jeder Zeit ist einer der VRRP-Router der primäre (aktive) und die anderen sind Backups. Wenn der primäre Router ausfällt, wird einer der Backup-Router zum neuen primären Router, wodurch immer ein virtueller Standard-Router zur Verfügung steht und der Datenverkehr im LAN geroutet werden kann, ohne auf einen einzelnen Router angewiesen zu sein.

VRRP ist in RFC 3768, Virtual Router Redundancy Protocol, definiert.

Übersichtsinformationen zu VRRP und VRRP für IPv6, Konfigurationsrichtlinien und Zusammenfassungen von Anweisungen finden Sie im Junos OS High Availability User Guide.

Siehe auch

VRRP zwischen QFabric-Systemen verstehen

QFabric-Systeme von Juniper Networks unterstützen das Virtual Router Redundancy Protocol (VRRP). In diesem Thema werden folgende Themen behandelt:

VRRP-Unterschiede bei QFabric-Systemen

Die Konfiguration von Servern in Ihrem Netzwerk mit statischen Routen zu einem Standard-Gateway minimiert den Konfigurationsaufwand und die Komplexität und reduziert den Verarbeitungsaufwand. Ein Ausfall des Standard-Gateways führt jedoch in der Regel zu einem katastrophalen Ereignis, bei dem die Server isoliert werden. Mit dem Virtual Router Redundancy Protocol (VRRP) können Sie dynamisch alternative Gateways für Server bereitstellen, wenn das primäre Gateway ausfällt.

Switches, die mit VRRP konfiguriert sind, teilen sich eine virtuelle IP-Adresse (VIP). Dies ist die Adresse, die Sie als Standardroute auf den Servern konfigurieren. Im normalen VRRP-Betrieb ist einer der Switches der primäre VRRP-Switch, was bedeutet, dass er die VIP besitzt und das aktive Standard-Gateway ist. Bei den anderen Geräten handelt es sich um Backups. Die Switches weisen Primär- und Backup-Rollen basierend auf den von Ihnen konfigurierten Prioritäten dynamisch zu. Wenn der primäre Switch ausfällt, wird der Backup-Switch mit der höchsten Priorität zum primären Switch und übernimmt innerhalb weniger Sekunden den Besitz der VIP. Dies geschieht ohne jegliche Interaktion mit den Servern.

Sie können zwei QFabric-Systeme so konfigurieren, dass sie an einer VRRP-Konfiguration teilnehmen, als ob es sich um zwei eigenständige Switches handeln würde. Im normalen VRRP-Betrieb kann jedoch immer nur ein System das primäre System für eine bestimmte VRRP-Gruppe sein, was bedeutet, dass nur ein System als Standard-Gateway mit der für die Gruppe konfigurierten VIP fungieren kann. Wenn Sie VRRP über zwei QFabric-Systeme ausführen, möchten Sie möglicherweise, dass beide Systeme gleichzeitig die VIP verwenden, um als Gateway zu fungieren und Datenverkehr weiterzuleiten. Um dies zu erreichen, können Sie einen Firewall-Filter konfigurieren, um die VRRP-Werbepakete zwischen den QFabric-Systemen auf der Verbindung zwischen den beiden Netzwerkknotengruppen zu blockieren. Wenn Sie dies tun, fungieren beide QFabric-Systeme als primärer Datenverkehr und leiten den Datenverkehr weiter, der von der VIP empfangen wird (dies ist die Standard-Gateway-Adresse, die Sie auf Servern konfigurieren, die mit beiden QFabric-Systemen verbunden sind). Wenn Sie vMotion von VMware verwenden, können virtuelle Maschinen mit dieser Konfiguration zwischen Servern wechseln, die mit den QFabric-Systemen verbunden sind, ohne deren Standard-Gateway-Informationen zu aktualisieren. Beispielsweise kann eine virtuelle Maschine, die auf einem Server ausgeführt wird, der mit einem QFabric-System in Datencenter A verbunden ist, auf einen Server übergehen, der mit einem QFabric-System in Datencenter B verbunden ist, ohne dass eine neue Gateway-IP-Adresse und eine neue MAC-Adresse aufgelöst werden müssen, da beide QFabric-Systeme dieselbe VIP verwenden.

Anmerkung:

Um einen Firewallfilter zum Blockieren von VRRP-Datenverkehr zu verwenden, erstellen Sie einen Firewallbegriff, der Datenverkehr für protocol vrrp und diesen Datenverkehr abgleicht.

Konfigurationsdetails

Die Konfiguration einer VRRP-Gruppe über zwei QFabric-Systeme hinweg ähnelt der Konfiguration von VRRP auf zwei Switches. Die wichtigsten Unterschiede sind hier aufgeführt:

  • Alle Schnittstellen in beiden QFabric-Systemen, die am VRRP teilnehmen, müssen Mitglieder desselben VLANs sein.

  • Sie müssen in diesem VLAN auf beiden QFabric-Systemen geroutete VLAN-Schnittstellen (RVIs) erstellen.

  • Die IP-Adressen, die Sie beiden RVIs zuweisen, müssen sich im selben Subnetz befinden.

  • Sie müssen VRRP auf den RVIs konfigurieren.

  • Beide RVIs müssen Mitglieder derselben VRRP-Gruppe sein. Dies ermöglicht es den beiden QFabric-Systemen, eine virtuelle IP-Adresse zu teilen.

In den folgenden Tabellen sind die Elemente einer VRRP-Beispielkonfiguration aufgeführt, die auf zwei QFabric-Systemen ausgeführt wird: QFabric-System A und QFabric-System B. Dieses Beispiel ist so konfiguriert, dass beide QFabric-Systeme als VRRP-Primärsystem für VIP 10.1.1.50/24 fungieren und es wird davon ausgegangen, dass ein Firewall-Filter die VRRP-Ankündigungen zwischen den Systemen blockiert. Tabelle 1 listet die erforderlichen Eigenschaften der RVIs in der Beispielkonfiguration auf.

Anmerkung:

Die meisten Konfigurationseinstellungen in den folgenden Tabellen gelten auch für eine herkömmliche VRRP-Konfiguration. Die Einstellungen für das Ankündigungsintervall und die Priorität müssten jedoch unterschiedlich sein (wie erwähnt).
Tabelle 1: RVIs auf QFabric-Systemen in Beispiel-VRRP-Konfiguration
RVI auf QFabric-System A RVI auf QFabric-System B

VLAN.100

VLAN.200

Mitglied von VLAN 100. (Beachten Sie, dass das VLAN auf beiden QFabric-Systemen gleich ist.)

Mitglied von VLAN 100

IP-Adresse 10.1.1.100/24

IP-Adresse 10.1.1.200/24

Mitglied der VRRP-Gruppe 500

Mitglied der VRRP-Gruppe 500

Virtuelle IP-Adresse 10.1.1.50/24

Virtuelle IP-Adresse 10.1.1.50/24

Sie müssen VRRP auf den RVIs auf beiden QFabric-Systemen konfigurieren. Tabelle 2 listet die Elemente einer VRRP-Beispielkonfiguration auf jedem RVI auf. Beachten Sie, dass mit Ausnahme der Priorität die Parameter auf beiden Systemen identisch sein müssen .

Tabelle 2: VRRP-Beispielkonfiguration für jede RVI
VRRP auf RVI auf QFabric-System A VRRP auf RVI auf QFabric-System B

VRRP-Gruppe 500

VRRP-Gruppe 500

Virtuelle IP-Adresse 10.1.1.50/24

Virtuelle IP-Adresse 10.1.1.50/24

Ankündigungsintervall 60 Sekunden. (In einer normalen VRRP-Konfiguration würden Sie dieses Intervall viel kleiner einstellen, z. B. 1 Sekunde. In dieser Konfiguration werden diese Pakete jedoch durch den Firewall-Filter auf der Schnittstelle blockiert, die eine Verbindung zu QFabric-System B herstellt, sodass sie nicht häufig gesendet werden müssen.)

Werbeintervall 60 Sekunden

Authentifizierungstyp: md5

Authentifizierungstyp: md5

Authentifizierungsschlüssel $9$1.4ElMVb2aGi4aZjkqzFRhSeWx7-wY2aM8

Authentifizierungsschlüssel $9$1.4ElMVb2aGi4aZjkqzFRhSeWx7-wY2aM8

Priorität 254. (In einer normalen VRRP-Konfiguration wäre dieser Wert auf den beiden Systemen unterschiedlich und das System mit dem höheren Wert wäre das primäre. In dieser Konfiguration fungieren jedoch beide Systeme als primäre Systeme, sodass Sie keine unterschiedlichen Werte konfigurieren müssen.)

Priorität 254
Anmerkung:

Priorität 255 wird für Wohnmobile nicht unterstützt.

Tabelle 3 listet alle Schnittstellen auf QFabric-System A in der Beispielkonfiguration auf und gibt an, mit welchen Schnittstellen sie verbunden sind.

Tabelle 3: Schnittstellen auf QFabric-System A. Alle Schnittstellen sind Mitglieder von VLAN 100.
VLAN 100 Schnittstellen auf QFabric-System A Stellt eine Verbindung her mit

VLAN.100

VLAN.200

Netzwerkknotengruppenschnittstelle QFA-NNG:xe-0/0/0

QFB-NNG:xe-0/0/0 auf QFabric-System B

Netzwerkknotengruppenschnittstelle QFA-NNG:xe-0/0/1

Redundanter Server Knotengruppenschnittstelle QFA-RSNG:xe-0/0/0

Redundanter Server Knotengruppenschnittstelle QFA-RSNG:xe-0/0/0

Stellt eine Verbindung zu einem Netzwerk her Knotengruppenschnittstelle QFA-NNG:xe-0/0/1

Redundanter Server Knotengruppenschnittstelle QFA-RSNG:xe-0/0/1

LAN mit Servern, auf denen virtuelle Maschinen ausgeführt werden

Tabelle 4 listet alle Schnittstellen auf QFabric-System B in der Beispielkonfiguration auf und gibt an, mit welchen Schnittstellen sie verbunden sind.

Tabelle 4: Schnittstellen auf QFabric-System B. Alle Schnittstellen sind Mitglieder von VLAN 100 (wie auf QFabric-System A).
VLAN 100 Schnittstellen auf QFabric-System B Stellt eine Verbindung her mit

VLAN.200

VLAN.100

Netzwerkknotengruppenschnittstelle QFB-NNG:xe-0/0/0

QFA-NNG:xe-0/0/0 auf QFabric-System A

Netzwerkknoten-Gruppenschnittstelle QFB-NNG:xe-0/0/1

Redundanter Server Knotengruppenschnittstelle QFB-RSNG:xe-0/0/0

Redundanter Server Knotengruppenschnittstelle QFB-RSNG:xe-0/0/0

Stellt eine Verbindung zu einem Netzwerk her Knotengruppenschnittstelle QFB-NNG:xe-0/0/1

Redundanter Server Knotengruppenschnittstelle QFB-RSNG:xe-0/0/1

LAN mit Servern, auf denen virtuelle Maschinen ausgeführt werden

Siehe auch

Junos OS-Unterstützung für VRRPv3

Der Vorteil der Verwendung von VRRPv3 besteht darin, dass VRRPv3 sowohl IPv4- als auch IPv6-Adressfamilien unterstützt, während VRRPv2 nur IPv4-Adressen unterstützt.

In den folgenden Themen werden die Unterstützung von und Interoperabilität von VRRPv3 durch Junos OS sowie einige Unterschiede zwischen VRRPv3 und seinen Vorgängern beschrieben:

VRRP-Unterstützung für Junos OS

In Versionen vor Version 12.2 unterstützte Junos OS RFC 3768, Virtual Router Redundancy Protocol (VRRP) (für IPv4) und Internet draft-ietf-vrrp-ipv6-spec-08, Virtual Router Redundancy Protocol für IPv6.

VRRPv3 wird nicht auf Routern unterstützt, die Versionen vor Junos OS Version 12.2 verwenden, und wird auch nicht für IPv6 auf QFX10000-Switches unterstützt.

Anmerkung:

VRRPv3 für IPv6 wird auf QFX10002-60C unterstützt.

Ab Version 12.2 unterstützt Junos OS:

  • RFC 3768, Virtual Router Redundancy Protocol (VRRP)

  • RFC 5798, Virtual Router Redundancy Protocol (VRRP) Version 3 für IPv4 und IPv6

  • RFC 6527, Definitionen verwalteter Objekte für Virtual Router Redundancy Protocol Version 3 (VRRPv3)

Anmerkung:

VRRP (für IPv6) auf Routern, die Junos OS Version 12.2 und höher verwenden, funktioniert aufgrund der unterschiedlichen VRRP-Prüfsummenberechnungen nicht mit VRRP (für IPv6) auf Routern mit früheren Junos OS-Versionen. Weitere Informationen finden Sie unter IPv6 VRRP Checksum Behavioral Differences.

IPv6 VRRP Prüfsumme – Verhaltensunterschiede

Sie müssen die folgenden Prüfsummenunterschiede berücksichtigen, wenn Sie IPv6-VRRP-Netzwerke aktivieren:

  • In Versionen vor Junos OS Release 12.2 wird bei der Konfiguration von VRRP für IPv6 die VRRP-Prüfsumme gemäß Abschnitt 5.3.8 von RFC 3768, Virtual Router Redundancy Protocol (VRRP) berechnet.

  • Ab Junos OS Version 12.2 wird bei der Konfiguration von VRRP für IPv6 die VRRP-Prüfsumme gemäß Abschnitt 5.2.8 von RFC 5798, Virtual Router Redundancy Protocol (VRRP) Version 3 für IPv4 und IPv6, berechnet, unabhängig davon, ob VRRPv3 aktiviert ist oder nicht.

    Darüber hinaus wird der Pseudoheader nur bei der Berechnung der IPv6-VRRP-Prüfsumme berücksichtigt. Der Pseudoheader wird bei der Berechnung der IPv4-VRRP-Prüfsumme nicht berücksichtigt.

    Damit der Router mit Junos OS Version 12.2 (oder höheren Junos OS-Versionen) IPv6 mit dem Router interoperiert, auf dem eine Junos OS-Version vor Version 12.2 ausgeführt wird, fügen Sie die checksum-without-pseudoheader Konfigurationsanweisung auf der Hierarchieebene des Routers ein, auf dem [edit protocols vrrp] Junos OS Version 12.2 oder höher ausgeführt wird.

  • Das tcpdump Dienstprogramm in Junos OS Version 12.2 und höher berechnet die VRRP-Prüfsumme gemäß RFC 5798, Virtual Router Redundancy Protocol (VRRP) Version 3 für IPv4 und IPv6. Daher wird beim tcpdump Parsen von IPv6-VRRP-Paketen, die von älteren Junos OS-Versionen (vor Junos OS Version 12.2) empfangen werden, die bad vrrp cksum folgende Meldung angezeigt:

    Sie können diese Meldung ignorieren, da sie nicht auf einen VRRP-Fehler hinweist.

VRRP-Interoperabilität

In Versionen vor Junos OS Version 12.2 folgte VRRP (IPv6) dem Internet-Entwurf draft-ietf-vrrp-ipv6-spec-08, aber die Prüfsumme wurde basierend auf RFC 3768 Abschnitt 5.3.8 berechnet. Ab Version 12.2 folgt VRRP (IPv6) RFC 5798 und die Prüfsumme wird basierend auf RFC 5798 Abschnitt 5.2.8 berechnet. Aufgrund der unterschiedlichen VRRP-Prüfsummenberechnungen kann IPv6-VRRP, das auf Routern konfiguriert ist, die Junos OS Version 12.2 und höher verwenden, nicht mit IPv6-VRRP zusammenarbeiten, die in Versionen vor Junos OS Version 12.2 konfiguriert wurden.

Damit der Router mit Junos OS Version 12.2 (oder späteren Junos OS-Versionen) IPv6 VRRP mit dem Router interoperiert, auf dem Junos OS-Versionen vor Version 12.2 ausgeführt werden, schließen Sie die checksum-without-pseudoheader Konfigurationsanweisung auf der [edit protocols vrrp] Hierarchieebene in den Router mit Junos OS Version 12.2 oder höher ein.

Hier sind einige allgemeine Punkte, die Sie über VRRP-Interoperabilität wissen sollten:

  • Wenn Sie VRRPv3 (IPv4 oder IPv6) auf Routern konfiguriert haben, die Junos OS Version 12.2 oder höher verwenden, funktioniert es nicht mit Routern, die Junos OS Version 12.1 oder frühere Versionen verwenden. Dies liegt daran, dass nur Junos OS Version 12.2 und höher VRRPv3 unterstützen.

  • VRRP (IPv4 oder IPv6), das auf Routern konfiguriert ist, die Junos OS Version 12.2 und höher verwenden, funktioniert mit VRRP (IPv4 oder IPv6), das auf Routern konfiguriert ist, die Versionen vor Junos OS Version 12.2 verwenden.

  • VRRPv3 für IPv4 arbeitet nicht mit den vorherigen Versionen von VRRP zusammen. Wenn VRRPv2-IPv4-Ankündigungspakete von einem Router empfangen werden, auf dem VRRPv3 aktiviert ist, wechselt der Router in den Backup-Zustand, um zu vermeiden, dass mehrere Primärdateien im Netzwerk erstellt werden. Aufgrund dieses Verhaltens müssen Sie vorsichtig sein, wenn Sie VRRPv3 in Ihren vorhandenen VRRPv2-Netzwerken aktivieren. Weitere Informationen finden Sie unter Upgrade von VRRPv2 auf VRRPv3 .

    Anmerkung:

    VRRPv3-Ankündigungspakete werden von den Routern ignoriert, auf denen frühere Versionen von VRRP konfiguriert sind.

Upgrade von VRRPv2 auf VRRPv3

Aktivieren Sie VRRPv3 in Ihrem Netzwerk nur, wenn VRRPv3 auf allen VRRP-Routern in Ihrem Netzwerk aktiviert werden kann.

Aktivieren Sie VRRPv3 in Ihrem VRRPv2-Netzwerk nur, wenn Sie ein Upgrade von VRRPv2 auf VRRPv3 durchführen. Das Mischen der beiden Versionen von VRRP ist keine dauerhafte Lösung.

VORSICHT:

Eine VRRP-Versionsänderung wird als katastrophal und störend angesehen und ist möglicherweise nicht ohne Beeinträchtigungen. Die Dauer des Paketverlusts hängt von vielen Faktoren ab, z. B. von der Anzahl der VRRP-Gruppen, den beteiligten Schnittstellen und FPCs und der Last anderer Dienste und Protokolle, die auf dem Router ausgeführt werden.

Das Upgrade von VRRPv2 auf VRRPv3 muss sehr sorgfältig durchgeführt werden, um Datenverkehrsverluste zu vermeiden.

  • Es ist nicht möglich, VRRPv3 auf allen Routern gleichzeitig zu konfigurieren.

  • Während der Übergangszeit werden sowohl VRRPv2 als auch VRRPv3 im Netzwerk betrieben.

  • Durch das Ändern der VRRP-Versionen wird der Zustandsautomat für alle VRRP-Gruppen neu gestartet.

  • VRRPv3 (für IPv4)-Router verwenden standardmäßig den Backup-Status, wenn sie VRRPv2-Ankündigungspakete (für IPv4) erhalten.

  • VRRPv2 (für IPv4) Pakete erhalten immer die höchste Priorität.

  • Prüfsummenunterschiede zwischen VRRPv2 und VRRPv3 (für IPv6) können mehrere primäre Router erstellen.

    Deaktivieren Sie VRRPv3 (für IPv6) auf den Backup-Routern während des Upgrades, um zu vermeiden, dass mehrere primäre Router erstellt werden.

Tabelle 5 veranschaulicht die Schritte und Ereignisse, die während eines Übergangs von VRRPv2 zu VRRPv3 stattfinden. In Tabelle 5 sind zwei VRRPv2-Router, R1 und R2, in zwei Gruppen, G1 und G2, konfiguriert. Router R1 fungiert als primärer Router für G1 und Router R2 als primärer Router für G2.

Tabelle 5: Übergangsschritte und -ereignisse von VRRPv2 zu VRRPv3

  1. Aktualisieren Sie Router R1 mit Junos OS Version 12.2 oder höher.

    • Router R2 wird zum primären Router für G1 und G2.

    • Nachdem die Aktualisierung von Router R1 abgeschlossen ist, wird Router R1 zum primären Router für G1.

    • Router R2 bleibt der primäre Router für G2.

  2. Aktualisieren Sie Router R2 mit Junos OS Version 12.2 oder höher.

    • Router R1 wird zum primären Router für G1 und G2.

    • Nachdem die Aktualisierung von Router R2 abgeschlossen ist, wird Router R2 zum primären Router für G2.

    • Router R1 bleibt der primäre Router für G1.

For IPv4

For IPv6

  1. Aktivieren Sie VRRPv3 auf Router R1.

    • Router R1 wird zum Backup sowohl für G1 als auch für G2, da VRRPv2-IPv4-Ankündigungspaketen eine höhere Priorität zugewiesen wird.

  2. Aktivieren Sie VRRPv3 auf Router R2.

    • Router R1 wird zum primären Router für G1.

    • Router R2 wird zum primären Router für G2.

  1. Deaktivieren Sie G1 und G2 am Router R2.

    • G1 und G2 auf Router R1 werden primär.

  2. Aktivieren Sie VRRPv3 auf Router R1.

    • Router R1 wird zum primären Router für G1 und G2.

  3. Aktivieren Sie VRRPv3 auf Router R2.

  4. Aktivieren Sie G1 und G2 am Router R2.

    • Router R2 wird zum primären Router für G2.

    • Router R1 bleibt der primäre Router für G1.

Wenn Sie VRRPv3 aktivieren, stellen Sie sicher, dass VRRPv3 auf allen VRRP-Routern im Netzwerk aktiviert ist, da VRRPv3 (IPv4) nicht mit den vorherigen Versionen von VRRP zusammenarbeitet. Wenn beispielsweise VRRPv2-IPv4-Ankündigungspakete von einem Router empfangen werden, auf dem VRRPv3 aktiviert ist, wechselt der Router in den Backup-Zustand, um zu vermeiden, dass mehrere Primärserver im Netzwerk erstellt werden.

Sie können VRRPv3 aktivieren, indem Sie die Anweisung version-3 auf der [edit protocols vrrp] Hierarchieebene konfigurieren (für IPv4- oder IPv6-Netzwerke). Konfigurieren Sie die gleiche Protokollversion auf allen VRRP-Routern im LAN.

Funktionsweise von VRRPv3 Funktionen

Einige Funktionen von Junos OS unterscheiden sich in VRRPv3 von früheren VRRP-Versionen.

VRRPv3-Authentifizierung

Wenn VRRPv3 (für IPv4) aktiviert ist, lässt es keine Authentifizierung zu.

  • Die authentication-type and-Anweisungen authentication-key können nicht für VRRP-Gruppen konfiguriert werden.

  • Sie müssen eine Nicht-VRRP-Authentifizierung verwenden.

VRRPv3 Ankündigungsintervalle

VRRPv3 (für IPv4 und IPv6) Ankündigungsintervalle müssen mit der fast-interval Anweisung auf Hierarchieebene [edit interfaces interface-name unit 0 family inet address ip-address vrrp-group group-name] gesetzt werden.

  • Verwenden Sie die advertise-interval Anweisung (für IPv4) nicht.

  • Verwenden Sie die inet6-advertise-interval Anweisung (für IPv6) nicht.

Einheitliche ISSU für VRRPv3

In Junos OS Version 15.1 werden Designänderungen für VRRP Unified In-Service Software Upgrade (ISSU) vorgenommen, um die folgende Funktionalität zu erreichen:

  • Wahren Sie die Protokollnachbarschaft mit Peer-Routern während der einheitlichen ISSU. Protokollnachbarschaften, die auf Peer-Routern für den Router erstellt wurden, dem eine einheitliche ISSU unterzogen wird, sollten nicht flattern, was bedeutet, dass die VRRP auf dem Remote-Peer-Router nicht flattern sollte.

  • Aufrechterhaltung der Interoperabilität mit Geräten von Mitbewerbern oder ergänzenden Geräten.

  • Aufrechterhaltung der Interoperabilität mit anderen Junos OS-Versionen und anderen Juniper Network-Produkten.

Die Werte der folgenden Konfigurationen (auf der [edit interfaces interface-name unit 0 family inet address ip-address vrrp-group group-name] Hierarchieebene) müssen auf den Maximalwerten gehalten werden, um eine einheitliche ISSU zu unterstützen:

  • Auf dem primären Router muss das Ankündigungsintervall (die fast-interval Anweisung) bei 40950 Millisekunden gehalten werden.

  • Auf dem Backup-Router muss das primäre Abwärtsintervall (die advertisements-threshold Anweisung) auf dem größten Schwellenwert gehalten werden.

Dieses vereinheitlichte VRRP-ISSU-Design funktioniert nur für VRRPv3. Es wird auf VRRPv1 oder VRRPv2 nicht unterstützt. Zu den weiteren Einschränkungen gehören die folgenden:

  • Die vereinheitlichte VRRP-ISSU kümmert sich nur um VRRP. Die Paketweiterleitung liegt in der Verantwortung der Packet Forwarding Engine. Die einheitliche ISSU der Packet Forwarding Engine sollte einen unterbrechungsfreien Datenverkehrsfluss gewährleisten.

  • VRRP ist während der einheitlichen ISSU nicht betroffen, z. B. durch den Wechsel der primären Routing-Engine zur Sicherung oder der Backup-Routing-Engine zur primären Engine.

  • VRRP kann jeden laufenden Timer anhalten und verwerfen, bevor es in eine vereinheitlichte ISSU eintritt. Das bedeutet, dass die erwartete Aktion nach Ablauf des Timers nie stattfindet. Sie können die einheitliche ISSU jedoch bis zum Ablauf aller laufenden Timer zurückstellen.

  • Eine einheitliche ISSU auf lokalen und Remote-Routern kann nicht gleichzeitig durchgeführt werden.

Siehe auch

VRRP-Failover-Verzögerung Übersicht

Failover ist ein Backup-Betriebsmodus, bei dem die Funktionen eines Netzwerkgeräts von einem sekundären Gerät übernommen werden, wenn das primäre Gerät aufgrund eines Ausfalls oder einer geplanten Ausfallzeit nicht mehr verfügbar ist. Failover sind in der Regel ein integraler Bestandteil unternehmenskritischer Systeme, die ständig im Netzwerk verfügbar sein müssen.

VRRP unterstützt keine Sitzungssynchronisierung zwischen Mitgliedern. Wenn das primäre Gerät ausfällt, übernimmt das Backup-Gerät mit der höchsten Priorität die Funktion des primären Geräts und beginnt mit der Weiterleitung von Paketen. Alle vorhandenen Sitzungen werden auf dem Sicherungsgerät als außerhalb des Zustands verworfen.

Ein schnelles Failover erfordert eine kurze Verzögerung. Daher konfiguriert failover-delay die Failoververzögerungszeit in Millisekunden für VRRP- und VRRP für IPv6-Vorgänge. Junos OS unterstützt einen Bereich von 50 bis 100000 Millisekunden für eine Verzögerung der Failover-Zeit.

Der VRRP-Prozess (vrrpd), der auf der Routing-Engine ausgeführt wird, übermittelt der Packet Forwarding Engine für jede VRRP-Sitzung eine Änderung der primären VRRP-Rolle. Jede VRRP-Gruppe kann eine solche Kommunikation auslösen, um die Packet Forwarding Engine mit ihrem eigenen Status oder dem von einer aktiven VRRP-Gruppe geerbten Zustand zu aktualisieren. Um eine Überlastung der Packet Forwarding Engine mit solchen Nachrichten zu vermeiden, können Sie eine Failoververzögerung konfigurieren, um die Verzögerung zwischen nachfolgenden Routing-Engine- und Packet Forwarding Engine-Kommunikationen anzugeben.

Die Routing-Engine übermittelt eine Änderung der primären VRRP-Rolle an die Packet Forwarding Engine, um notwendige Zustandsänderungen auf der Packet Forwarding Engine zu erleichtern, z. B. die Neuprogrammierung von Hardwarefiltern der Packet Forwarding Engine, VRRP-Sitzungen usw. In den folgenden Abschnitten wird die Kommunikation zwischen der Routing-Engine und der Packet Forwarding Engine in zwei Szenarien erläutert:

Wenn die Failoververzögerung nicht konfiguriert ist

Ohne konfigurierte Failoververzögerung sieht die Abfolge der Ereignisse für VRRP-Sitzungen, die von der Routing-Engine aus betrieben werden, wie folgt aus:

  1. Wenn die erste VRRP-Gruppe, die von der Routing-Engine erkannt wird, ihren Status ändert und der neue Status primär ist, generiert die Routing-Engine die entsprechenden VRRP-Ankündigungsmeldungen. Die Packet Forwarding Engine wird über die Zustandsänderung informiert, sodass Hardwarefilter für diese Gruppe unverzüglich neu programmiert werden. Der neue primäre Server sendet dann eine kostenlose ARP-Nachricht an die VRRP-Gruppen.

  2. Die Verzögerung des Failover-Timers wird gestartet. Standardmäßig ist der Failover-Verzögerungs-Timer wie folgt:

    • 500 Millisekunden: Wenn das konfigurierte VRRP-Ansageintervall weniger als 1 Sekunde beträgt.

    • 2 Sekunden: Das konfigurierte VRRP-Ansageintervall beträgt 1 Sekunde oder mehr und die Gesamtzahl der VRRP-Gruppen auf dem Router beträgt 255.

    • 10 Sekunden: Das konfigurierte VRRP-Ansageintervall beträgt mindestens 1 Sekunde und die Anzahl der VRRP-Gruppen auf dem Router beträgt mehr als 255.

  3. Die Routing-Engine führt eine Statusänderung für nachfolgende VRRP-Gruppen durch. Jedes Mal, wenn es eine Zustandsänderung gibt und der neue Status für eine bestimmte VRRP-Gruppe primär ist, generiert die Routing-Engine die entsprechenden VRRP-Ankündigungsmeldungen. Die Kommunikation mit der Packet Forwarding Engine wird jedoch unterdrückt, bis der Timer für die Failoververzögerung abläuft.

  4. Nach Ablauf des Failoververzögerungs-Timers sendet die Routing-Engine eine Nachricht über alle VRRP-Gruppen, die den Status ändern konnten, an die Packet Forwarding Engine. Als Konsequenz werden Hardwarefilter für diese Gruppen neu programmiert, und für die Gruppen, deren neuer Status primär ist, werden kostenlose ARP-Nachrichten gesendet.

Dieser Vorgang wird so lange wiederholt, bis der Zustandsübergang für alle VRRP-Gruppen abgeschlossen ist.

Daher wird ohne Konfiguration der Failover-Verzögerung der vollständige Zustandsübergang (einschließlich der Zustände auf der Routing-Engine und der Packet Forwarding Engine) für die erste VRRP-Gruppe sofort durchgeführt, während der Zustandsübergang auf der Packet Forwarding Engine für die verbleibenden VRRP-Gruppen um mindestens 0,5 bis 10 Sekunden verzögert wird, abhängig von den konfigurierten VRRP-Ansagetimern und der Anzahl der VRRP-Gruppen. Während dieses Zwischenzustands kann der Empfang von Datenverkehr für VRRP-Gruppen für Zustandsänderungen, die auf der Packet Forwarding Engine noch nicht abgeschlossen wurden, aufgrund einer verzögerten Neukonfiguration von Hardwarefiltern auf der Ebene der Packet Forwarding Engine unterbrochen werden.

Wenn die Failoververzögerung konfiguriert ist

Wenn die Failoververzögerung konfiguriert ist, wird die Abfolge der Ereignisse für VRRP-Sitzungen, die von der Routing-Engine ausgeführt werden, wie folgt geändert:

  1. Die Routing-Engine erkennt, dass einige VRRP-Gruppen eine Zustandsänderung erfordern.

  2. Die Failover-Verzögerung beginnt für den konfigurierten Zeitraum. Der zulässige Timerbereich für die Failoververzögerung beträgt 50 bis 100000 Millisekunden.

  3. Die Routing-Engine führt eine Statusänderung nach der anderen für die VRRP-Gruppen durch. Jedes Mal, wenn es eine Zustandsänderung gibt und der neue Status für eine bestimmte VRRP-Gruppe primär ist, generiert die Routing-Engine die entsprechenden VRRP-Ankündigungsmeldungen. Die Kommunikation mit der Packet Forwarding Engine wird jedoch unterdrückt, bis der Timer für die Failoververzögerung abläuft.

  4. Nach Ablauf des Failoververzögerungs-Timers sendet die Routing-Engine eine Nachricht über alle VRRP-Gruppen, die den Status ändern konnten, an die Packet Forwarding Engine. Als Konsequenz werden Hardwarefilter für diese Gruppen neu programmiert, und für die Gruppen, deren neuer Status primär ist, werden kostenlose ARP-Nachrichten gesendet.

Dieser Vorgang wird so lange wiederholt, bis der Zustandsübergang für alle VRRP-Gruppen abgeschlossen ist.

Wenn also die Failoververzögerung konfiguriert ist, wird sogar der Status der Packet Forwarding Engine für die erste VRRP-Gruppe zurückgestellt. Der Netzbetreiber hat jedoch den Vorteil, dass er einen Failover-Verzögerungswert konfigurieren kann, der am besten zu den Anforderungen der Netzwerkbereitstellung passt, um minimale Ausfälle während der VRRP-Zustandsänderung zu gewährleisten.

Die Failoververzögerung wirkt sich nur auf VRRP-Sitzungen aus, die vom VRRP-Prozess (vrrpd) auf der Routing-Engine ausgeführt werden. Bei VRRP-Sitzungen, die an die Packet Forwarding Engine verteilt werden, hat die Konfiguration der Failoververzögerung keine Auswirkungen.

Siehe auch

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
12.2
Junos OS Version 12.2 und höher unterstützen VRRPv3.